Il GDPR in breve: capire il Regolamento Privacy UE in 1 minuto
di Antonella Sergi
Cos’è il GDPR?
Il nuovo Regolamento europeo sul trattamento e la gestione dei dati dei cittadini europei che è diventato applicabile il 25 maggio 2018 prendendo il posto del Codice della Privacy (D. Lgs. n.196/2003).
Il Regolamento, insieme alla Direttive UE 2016/680 e 681, fa parte del pacchetto di riforma europea sulla protezione dei dati, nello specifico, per il trattamento dei dati personali svolti nelle attività di indagine per il perseguimento dei reati.
Il percorso verso il GDPR è nato dall’esigenza di aggiornare la disciplina in materia di cybersecurity, facendo della tutela dei dati un diritto fondamentale del cittadino europeo. Numerosi sono progressi tecnologici ed informatici a cui abbiamo assistito negli ultimi anni, a cui fanno seguito gli incrementi degli attacchi informatici compiuti con tecniche di phisinge social engineering.
In Italia, l’art. 13 della legge di delegazione europea 2016-2017 (L. 25 ottobre 2017, n.163) demanda al Governo il compito di adottare i decreti legislativi per adeguare la normativa nazionale al Regolamento UE 2016/679, questo in quanto atto legislativo vincolante, viene applicato uniformemente a tutti gli Stati dell’Unione senza l’intervento dei parlamenti nazionali. Tuttavia, numerose sono le disposizioni demandate agli Stati Membri, i quali possono introdurre regole aggiuntive.
Il Regolamento si applica anche alle aziende che risiedono in paesi terzi che trattano i dati dei cittadini residenti nell’Unione Europea.
Che cosa cambia?
- La definizione di dato personale costituente oggetto del Regolamento (art. 4 GDPR)
È dato personale qualsiasi informazione concernente una persona fisica identificata o identificabile, include quindi i dati genetici, dati relativi alla salute, relazioni sociali, economici e finanziari, giudiziari
- Privacy by design e privacy by default (art. 25 GDPR)
I processi aziendali che comportano il trattamento dei dati personali devono essere progettati fin dall’inizio con l’obiettivo di riduzione dei rischi per gli interessati, ad esempio attraverso la pseudonomizzazione, che separa la registrazione dei dati identificativi degli interessati dagli altri dati, magari sensibili, oggetto di trattamento, collegando le due registrazioni da un codice.
- Dal DPS al Registro delle Attività di Trattamento
Documento Programmatico sulla Sicurezza (di cui all’Allegato B punto 19 D. Lgs. 296/2003), dopo l’abrogazione dell’obbligo di tenuta col Decreto Legge 5/2012 (decreto Monti), garantiva alle imprese il controllo sui dati e la loro sicurezza prevenendo ogni possibile data breach e quindi, di conseguenza, ogni possibile sanzione dall’Autorità Garante.
Il Registro dei Trattamenti è previsto dal testo sia all’art. 30 sia al considerando 82, e introduce l’obbligo di tenuta di un registro relativo ai trattamenti effettuati per conto del Data Controller (ossia il Titolare) e del Responsabile (il Data Processor), alla stregua del DPS, deve indicare chi è il titolare, chi sono i responsabili, quali sono le categorie interessate, come viene effettuato il trattamento, nonché le sue finalità. Il Titolare del trattamento è direttamente responsabile per la sicurezza dei dati personali. In caso di contitolarità del trattamento, i contitolari devono stabilire un accordo legale sulle relative responsabilità riguardo ai diritti dell’interessato.
- La prestazione del consenso
La prestazione del consenso deve essere espressa dall’interessato mediante un atto libero, specifico, informato e inequivocabile.
- Il contenuto dell’informativa
Rispetto al vecchio Codice Privacy l’informativa deve essere molto più dettagliata, deve indicarne le finalità, quali sono i soggetti – eventualmente terzi – che hanno accesso ai dati e deve essere fornita a tutti gli interessati al trattamento.
- Il DPO
Gli articoli 37, 38 e 39 (sezione 4) disciplinano il c.d. Data Protection Officer: figura del tutto nuova e obbligatoria qualora sussistano le condizioni di cui all’art. 37 del GDPR: se il trattamento dei dati personali è effettuato da un’autorità pubblica o un organismo pubblico; quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; quando le attività principali dell’organizzazione consistono nel trattamento dei dati sensibili ovvero giudiziari su larga scala.
Il Responsabile designato è chiamato a mediare tra gli interessati, il titolare del trattamento e il Garante per la Privacy.
- Il ruolo del Garante
Come nella precedente normativa, il controllo spetta al Garante della Privacy, che nell’effettuare gli opportuni controlli si avvale anche della cooperazione del nucleo ispettivo della guardia di finanza.
- Data breach
Nel caso di una violazione dei dati personali oggetto di trattamento (perdita, accesso non autorizzato):
– Notificarla al garante entro 72 ore
– Notificarla a tutti gli interessati i cui dati siano stati violati (nei casi più gravi).
Chi deve adeguarsi?
Tutte le imprese e i professionisti che nella propria attività trattano in maniera sistematica i dati dei cittadini UE.
Chi è protetto?
Le persone fisiche residenti in UE i cui dati vengono trattati.
Sono previste delle sanzioni?
Ammontano a 20 milioni di euro o al 4% del fatturato dell’anno precedente, se superiore.
Bibliografia:
Antonio Cantalupo, Claudio Bentivegna, La tutela della Privacy sul web: Cosa cambia con il nuovo regolamento europeo 679/2016, 2017, Fisco e Tasse – Maggioli Editore;
Franco Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, Torino, 2016, Giappichelli.
Collegamenti:
Regolamento UE 2016/679, con riferimenti ai Considerando: http://194.242.234.211/documents/10160/0/Regolamento+UE+2016+679.+Con+riferimenti+ai+considerando;
Alberto Magnani, La GDPR in un minuto: cos’è e chi riguarda, 02/05/2018, http://stream24.ilsole24ore.com/video/mondo/la-gdpr-un-minuto-cos-e-e-chi-riguarda/AEYjIshE.
Autore: